原理

  1. 前后端网站部署在同一个服务器: 根据请求的网站的主机信息和本网站的主机信息进行对比,如果相等,则进行处理
  2. 前后端网站部署在不同的服务器: 维护一个主机名的白名单

封装防盗链的中间件

  1. const url = require('url');
  2. const path = require('path')
  4. module.exports = function (req, res, next) {
  5.     const host = req.headers.host; // 获取本网站的主机名
  6.     let referer = req.headers.referer;
  7.     // 只处理图片
  8.     const extnname = path.extname(req.path);
  9.     if (!['.jpg', '.jpeg', '.png', '.gif'].includes(extnname)) {
  10.         next();
  11.         return;
  12.     }
  13.     if (referer) {
  14.         referer = url.parse(referer).host;
  15.     }
  16.     if (referer && host !== referer) {
  17.         req.url = '/img/protect_img.jpeg'; // url rewrite 
  18.     }
  19.     next();
  20. }

此处,只给图片做了防盗链,也可以给js,css做同样的防盗链

这段代码,是给非法的请求,返回了一张默认的图片

  1.  if (referer && host !== referer) {
  2.         req.url = '/img/protect_img.jpeg'; // url rewrite 
  3.     }

引入中间件

  1. app.use(require('./middlewares/imgProtected'));